Theresa Locker - Report Darknet

Das bekannteste und am weitesten verbreitete Darknet ist das Tor-Netzwerk. Wenn wir von Darknet sprechen, meinen wir ausschließlich das Tor-Darknet: ein Pool von Tausenden von Servern, die über die ganze Welt verteilt sind und sich vom Rest des Internets abschirmen. Die meisten Nutzer bekommen von der komplexen Mathematik, die hinter der Technologie von Tor und den Verschlüsselungsprotokollen steckt, nichts mit. Die ganze Technik ist handlich in ein einziges, mächtiges Werkzeug verbaut – den Tor-Browser. Der Tor-Browser ist die Pforte ins Darknet.

Die erste Version der Tor-Software entstand Ende der 90er-Jahre in einem militärischen Forschungslabor der US-Navy. Die US-Armee suchte nach einer Technologie, mit der sich amerikanische Agenten im Ausland anonym im Netz bewegen können. Doch das Programm war unausgereift und schlummerte auf alten Rechnern der Navy. Bis Tor von Netzaktivisten reaktiviert, weiterentwickelt und 2003 als Open Source veröffentlicht wurde.

Ausgangspunkt von Tor ist eine Grundeigenschaft des Internets, die manche als dessen »Geburtsfehler« betrachten 5: die IP-Adressstruktur. IP-Adressen fungieren im Internet wie digitale Meldeadressen: Wann immer ein Nutzer eine Webseite aufruft oder einen Beitrag etwa auf Facebook postet, tut er das nicht anonym, sondern unter einer digitalen Kennung – seiner IP-Adresse –, die ihm sein Internetanbieter zuteilt und die ihn identifizierbar macht. Jedes Gerät – ob Computer, Smartphone oder WLAN-Kühlschrank – besitzt eine solche IP-Adresse, sobald es sich mit dem Netz verbindet. IP-Adressen können statisch sein oder variabel, doch auch, wenn ein Nutzer heute mit der einen, morgen mit einer anderen IP-Adresse unterwegs ist, registriert sein Provider jede seiner Aktivitäten im Netz: welche Seiten er besucht, wann und wie lange, welche Inhalte er abfragt. Auch bei den besuchten Seiten hinterlässt der Nutzer Spuren, da Seitenbetreiber sehen können, welche IP-Adressen sich mit ihnen verbinden.

Tor stört diese Kommunikationsbeziehung, bei der IP-Adressen direkt miteinander sprechen. Die Idee klingt simpel: Wenn es IP-Adressen sind, die Nutzer identifizierbar machen, zugleich aber ein unhintergehbares Grundprinzip des Internets sind, muss das IP-Adressprinzip eben gegen sich selbst gewendet werden.

Und das funktioniert so: Anstatt eine Internetanfrage vom Nutzer direkt zur gewünschten Webseite zu bringen, leitet Tor sie durch einen virtuellen Tunnel, der aus drei Servern besteht, den Tor-Knoten. Innerhalb dieses Tunnels ist die Verbindung mehrfach verschlüsselt. Vom dritten Tor-Knoten, dem Endknoten, gelangt die Anfrage, nun unverschlüsselt, ins offene Internet und zur gewünschten Webseite. Das schrittweise Abtragen der Verschlüsselungsschichten an den Tor-Knoten hat die ursprünglichen Programmierer 6offenbar an das Schälen einer Zwiebel erinnert, was die Namensgebung von Tor (das Akronym von »The Onion Routing«) erklärt.

Bei jedem Start sucht sich der Tunnel drei neue Knoten, um die Anfrage zum Ziel zu schicken. Der Tunnel versperrt dem Internetprovider – und allen, die auf dessen Daten zugreifen können – die Sicht auf den Traffic. Knackpunkt dabei ist, dass die drei Tor-Knoten jeweils nur ihre unmittelbaren Nachbarn kennen, also den Tor-Knoten davor und danach. Woher aber die Anfrage ursprünglich kommt und wohin sie geht, lässt sich von keinem Punkt in der Kette nachvollziehen: Die aufgerufene Website sieht nur die IP-Adresse des Endknotens der Kette, nicht aber die des Nutzers; der Internetprovider sieht nur, dass sich der Nutzer ins Tor-Netzwerk einklinkt, nicht aber welche Seite er ansteuert und welche Inhalte er dort abfragt; und die Tor-Knoten kennen jeweils nur einen kleinen Ausschnitt der Route.

Die Identität des Nutzers bleibt damit verborgen. Der Tor-Browser eignet sich also auch für Leute, die bloß im Internet surfen und nicht wollen, dass an beiden Enden der Verbindung Dritte ungefragt zuschauen.

Die zweite Ebene der Tor-Sicherheitsarchitektur ist der Tor-Browser, mit dem Nutzer deutlich weniger Spuren im Netz hinterlassen (etwa durch Cookies) als mit einem herkömmlichen Internetbrowser. Wie jede Software, hat auch Tor Schwachstellen: Sogenannte »globale, passive Angreifer« wie Geheimdienste, die große Teile des Netzes überblicken, können Tor-Nutzer unter Umständen (und mit einigem Aufwand) deanonymisieren. Gegen diese »traffic correlation attacks«, bei denen ein Akteur beide Enden einer Internetverbindung sieht, kann Tor nichts ausrichten. 7Auch andere Angriffe, etwa über eine Sicherheitslücke im Browser, sind vorstellbar. Tor, das sollten Nutzer wissen, bietet keine 100-prozentige Anonymität.

Wenn allerdings Politiker oder Ermittler fordern, das Darknet zu »durchleuchten« oder »Licht ins dunkle Netz« zu bringen, meinen sie in der Regel nicht die Anonymisierungssoftware des Tor-Browsers, sondern sogenannte Onion-Services oder Hidden Services. Vereinfacht gesagt sind es die Webseiten des Darknets.

Hidden Services sind kryptografisch abgesicherte und im weitesten Sinne zensurresistente Dienste, die es Betreibern möglich machen, ihre Inhalte anonym anzubieten und ihren Standort zu verschleiern. Der Kniff: Der Server, über den eine Website oder ein Forum läuft, ist selbst Teil des Tor-Netzwerks und somit nur schwer lokalisierbar. Springt die Anfrage eines Nutzers normalerweise über drei Tor-Knoten, wenn er eine Webseite im Clearnet aufruft, erhöht sich die Zahl der Knoten in der Regel auf sechs, wenn er einen Hidden Service ansteuert. Nutzer und Betreiber von Hidden Services können so miteinander sprechen, ohne zu wissen, mit wem sie es eigentlich zu tun haben. Diese Konstellation erhöht auch den Schutz für Nutzer: Da der Hidden Service die Tor-Architektur verwendet, bleibt die Internetverbindung die ganze Zeit innerhalb des Tor-Netzwerks.

Hidden Services lassen sich nicht über herkömmliche Internetbrowser ansteuern, sondern nur über den Tor-Browser. Die Adressen im Darknet enden nicht auf .de oder .com, sondern auf .onion und bestehen aus einer zufälligen Reihe von (in der Regel) 16 Buchstaben und Zahlen.

Bekannte Onion-Dienste sind etwa der anonyme E-Mail-Dienst ProtonMail (protonirockerxow.onion) oder die Google-Alternative DuckDuckGo (3g2up14pq6kufc4m.onion). Der mit Abstand populärste Onion Service ist die Darknet-Seite von Facebook, erreichbar über facebookcorewwwi.onion.

Es gibt Hidden Services, die die Öffentlichkeit suchen – Schwarzmärkte, Foren, Blogs, Linklisten – und die sich daher relativ leicht finden lassen; und es gibt Hidden Services, die nur wenige Eingeweihte kennen: »invite-only«-Shops, auf die nur ein erlesener Kundenkreis zugreifen kann, oder Ad-hoc-Foren, die nur wenige Tage oder Stunden existieren und von kriminellen Netzwerken im transnationalen Schmuggelgeschäft genutzt werden. Niemand kennt alle Hidden Services, es ist wohl eher so, dass die allermeisten Nutzer nur den kleinsten Teil des Darknets jemals sehen werden.

Wenn wir auf den folgenden Seiten von Darknet-Schwarzmärkten oder Kryptomärkten sprechen, ist von Hidden Services die Rede. Die Hidden Services sind der Grund für den schlechten Ruf des Darknets: Hier haben sich Versandhäuser für Drogen, Waffen, Falschgeld und Hehlerware etabliert, bieten Kleinkriminelle und organisierte Banden Services für Hackerangriffe, Kreditkartenbetrug und Geldwäsche. Und es gibt einen noch dunkleren Bereich des Darknets: Seiten für Auftragsmorde, Verkaufsangebote für Landminen, menschliche Organe und »Snuff«-Filme, »Red Rooms« für Folter-Liveshows und Hurtcore-Foren, in denen Videos gepeinigter Kleinkinder getauscht werden.